IPOE限制两个网段互访

现场针对于AP的管理网段进行IPOE认证，当前需求对于AP网段进行访问限制，仅能访问AC段，如何做访问限制？

ISP域下调用的ACL仅能对portal和lan-access生效，而user-profile看只能与限速相关，不能做ACL限制

1.最简单方式，接口下下发ACL，限制AP网段的访问

[BRAS] acl advanced 3000

[BRAS-acl-ipv4-adv-3002] rule 5 permit ip source A.A.A.A 0 dest B.B.B.B 0

[BRAS-acl-ipv4-adv-3002] rule 10 deny ip source A.A.A.A 0

[BRAS] interface gigabitEthernet 1/1/1

[BRAS–GigabitEthernet1/1/1] packet-filter 3000 inbound

2.通过配置user-group 结合Qos：

先新建一个user-group :

[BRAS]user-group ap

然后在AP的认证ISP域下授权这个组：

domain name ap

authorization-attribute user-group ap

authentication ipoe XXXX

authorization ipoe XXXX

accounting ipoe XXXX

qos policy test

c free b free  放通的网段

c deny b deny  匹配该源ip，user-group ap的都拒绝。

然后调用QOS即可